En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Appels d'offres en cours
  • Création d'un site e-commerce pour un magasin d'accessoires et équipements de moto
    A déterminer €
    > En savoir plus
  • Création d'un site vitrine pour un centre de bien être
    A déterminer €
    > En savoir plus
  • Consultant en supervision des systèmes et réseaux
    A déterminer €
    > En savoir plus
BlueMind_Nouvelle version_leaderboard animée

Bâtir une architecture DNS sécurisée pour la virtualisation des fonctions réseau (NFV)

Universign_maitrisez risques signature elec_pave

Dilip Pillaipakkamnatt, Vice-président Service Provider Business chez Infoblox, spécialiste du contrôle du réseau, explique les étapes à respecter lorsqu’une entreprise entreprend la migration de l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.

 

Il est désormais évident que la virtualisation des fonctions réseau (NFV) offre des avantages majeurs aux opérateurs : non seulement elle participe à la réduction des coûts opérationnels et la manutention dans le déploiement de nouveau matériel mais elle accélère aussi le lancement de nouveaux services réseau. En dehors de cette flexibilité, cependant, les entreprises doivent prendre en compte plusieurs aspects importants, notamment lorsqu’il s’agit de faire migrer l’infrastructure du système de noms de domaines (DNS) vers un modèle NFV.

 

La sécurité au cœur de la migration du DNS 

Cette migration n’est pas évidente à appréhender, surtout en termes de sécurité. Face à un nombre grandissant de fonctions réseaux gérées de façon logicielle, ce changement doit s’accompagner d’une refonte de la protection traditionnelle. Voici quelques points qui soulignent la nécessité d’une approche intelligente de la sécurité en mode NFV.

  • Les firewalls et les systèmes anti-intrusion classiques ne sont pas conçus pour protéger le DNS, en particulier dans l’environnement NFV. La souplesse même de configuration qu’apportent les logiciels par rapport à une architecture traditionnelle accroît également les risques d’erreurs de configuration des fonctions réseau. Cela ouvre de nouveaux angles d’attaque, quand bien même d’autres aspects du modèle NFV renforcent la protection, tels que la visibilité centralisée et la sécurité au niveau des machines virtuelles. Même lorsque la sécurité n’est pas compromise, les problèmes de configuration peuvent avoir un effet boule de neige pouvant dégrader l’ensemble des fonctionnalités du réseau, donnant faussement l’impression d’un problème de sécurité.

 

  • Des attaques, notamment de type DDoS passant par le DNS, peuvent rapidement saturer les ressources réseau en générant un trop grand nombre de demandes de résolution pour que le système DNS puisse les traiter, aboutissant à la paralysie du réseau en raison de l’impossibilité de répondre aux requêtes légitimes. D’autres attaques falsifient des adresses IP valides afin d’aiguiller l’émetteur de la requête vers des sites Web malveillants ou se servent d’un tunnel pour attaquer des machines virtuelles spécifiques, en cryptant et dérobant des informations via des canaux qui ne sont habituellement pas analysés par les logiciels de sécurité classiques.

 

  • Les machines virtuelles (VM) permettent de centraliser le contrôle des ressources réseau et d’accélérer le déploiement de ressources à la demande. Cependant, à l’instar de leurs homologues physiques, les VM sont vulnérables à l’infection par un malware. Une fois une machine infectée, si elle n’est pas rapidement mise en quarantaine, l’infection peut se propager aux autres machines sur l’ensemble du réseau et en perturber le fonctionnement de l’intérieur. La surveillance d’un environnement virtualisé nécessite un jeu d’outils différents de ceux employés traditionnellement pour assurer la sécurité des réseaux.

 

Mise en place d’un réseau flexible et transparent

Dans la mesure où les problèmes de sécurité liés au DNS requièrent un regain d’attention de la part des opérateurs qui adoptent le NFV, ces derniers doivent veiller à ce que leur environnement de sécurité réponde à ces exigences :

  • La sécurité du NFV doit être intégrée dans l’architecture DNS et non greffée sur celle-ci. Un degré accru d’intégration grâce à la mise en œuvre d’une protection spécifique pour le DNS contribue à réduire au minimum les failles dans la couverture risquant d’être laissées par des solutions ajoutées après coup et facilement exploitées par des attaques.

 

  • Pour limiter l’impact d’une attaque lorsqu’elle se produit et la contrer le plus rapidement possible, le réseau virtualisé doit pouvoir adapter le plus rapidement possible ses ressources en activant de nouvelles machines sans qu’une intervention humaine soit nécessaire. L’ajout automatique de capacité pendant la maîtrise de l’attaque évite l’interruption des services, et donc des pertes de chiffre d’affaires et de productivité.

 

  • Face à des dangers tels que les vulnérabilités « zero day », la sécurité en mode NFV doit pouvoir détecter des menaces jusque-là inconnues par une analyse continue du comportement du réseau, tout en défendant ce dernier contre les menaces bien identifiées tels que les kits prêts à l’emploi pour un type précis d’attaque.

 

  • Une stratégie de sécurisation du DNS pour le NFV doit englober une analyse et un suivi des ressources aussi bien internes qu’externes. Si de nombreuses menaces peuvent venir de l’extérieur à l’exemple des attaques DDoS, les malwares implantés sur des VM existantes sont tout aussi dangereux. L’infrastructure virtualisée nécessite une capacité de suivi des machines virtuelles déployées, d’analyse de leurs adresses IP et de surveillance de la totalité du trafic en vue de détecter en temps réel les comportements suspects sur les VM. En outre, il doit être possible de mettre en quarantaine les VM contaminées afin de prévenir une propagation de l’infection.

 

  • Les problèmes de configuration pouvant conduire à des problèmes de sécurité et de performances, la sécurisation de l’environnement NFV doit prévoir des outils de découverte du réseau et d’automatisation afin de déterminer quelles fonctions réseau sont correctement configurées et d’identifier les problèmes potentiels.

 

Avec chaque nouvelle génération technologique, la planification du réseau a eu à gérer les risques tout en recueillant les bénéfices, et le NFV est simplement l’étape suivante vers la création des réseaux hautement dynamiques et automatisés de demain. Lorsque les opérateurs prennent en compte la sécurité de façon proactive et dès la mise en œuvre et non a posteriori, il en résulte un réseau flexible et transparent qui répond aux besoins immédiats et futurs tout en assurant la protection de précieuses ressources.

 

Bâtir une architecture DNS sécurisée pour la virtualisation des fonctions réseau (NFV)
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

RGPD : ETES-VOUS PRÊT ? Le Règlement Général sur la Protection des Données entre en application le 25 mai 2018.

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Piratage de données : action en nom collectif au Canada contre Equifax

    Une action en nom collectif (class action) a été lancée mardi au Canada afin d'obtenir…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Avis d'expert d'Ivanti - Mises en garde avant le Patch Tuesday d’Octobre : il est temps de réviser les stratégies de correctifs

    Ivanti partage dans cet avis d'expert ses prévisions pour le Patch Tuesday d’octobre, dans lesquelles…

    > En savoir plus...
Etudes/Enquêtes
  • Cyberattaques : les pertes des entreprises françaises en hausse de 50 % en un an (PwC)

    Les entreprises françaises ont vu leurs pertes financières liées aux cyberattaques augmenter de 50 %…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Surveillance de réseau : un élément indispensable de la sécurité informatique

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
banniere_FIC2018_skycrapper